정보처리기사 필기시험 준비 [20]

소프트웨어개발 - 인터페이스설계 / 인터페이스 기능구현 / 인터페이스 구현 검증

인터페이스 보안

• 구현된 인터페이스의 주요 보안 취약점
• 인터페이스는 시스템 모듈 간 통신 정보 교환을 지원함으로 데이터변조, 탈취및 인터페이스 모듈 자체의 보안 취약점이 있을 수 있다.

데이터 통신 시 데이터 탈취 위협

• 데이터 통신 내역을 중간에서 감청하여 기밀성을 훼손할 수 있는 기법(스니핑 - Sniffing)
• 도청할 수 있도록 중간에 설치되는 도구를 스니퍼라고 한다.
• 주로 패킷 분석기 같은 툴을 통해서 진행

시큐어코딩

• SW 보안 취약점, 약점 및 대응 방안이 구체적으로 서술
• 입력데이터 검증 및 표현 - 소스코드 취약점 점검
• API이용 - 시스템 접근 API오용
• 보안특성 - 인증, 접근제어, 기밀성, 암호화, 권한관리, 취약한 알고리즘, 부적절 인가로 인한 취약점
• 시간 및 상태 - 프로세스 동시 수행시 잘못된 권한 위임 가능성
• 에러처리 - 에러처리가 부적절하거나 에러에 정보가 과도하게 많이 포함된 경우
• 코드품질 - 복잡한 소스코드가 가독성과 유지보수성을 저하함
• 캡슐화 - 중요 데이터의 불충분한 캡슐화로 악의적 접근 가능

데이터베이스 암호화

• 데이터베이스의 기밀성을 유지하기 위해 중요 민감 데이터는 다양한 암호 알고리즘을 활용하여 암호화한다.
• 대칭 키 암호 알고리즘 - SEED, ARIA
• 해시 알고리즘 - HAS, SHA
• 비대칭 키 알고리즘(공개키 알고리즘) - RSA, ECDSA

데이터베이스 암호화기법

• API방식 - APP 레벨에서 암호 모듈(API)를 적용하는 APP 수정방식
• Filter(Plug-in)방식 - DB레벨의 확장성 프로시저 기능을 이용하며 DBMS에 Plug-in 모듈로 동작하는 방식
• Hybrid - API 방식과 Filter 방식을 결합

인터페이스 보안 기능 적용

1. 인터페이스 보안 취약점을 분석
   1. 인터페이스 구현이 어떻게 되었는지 분석하고 각 구간에 어떤 보안 취약점이 있는지를 다양한 관점에서 분석

1. 분석된 보안 취약점을 근거로 인터페이스 보안기능을 적용
   1. 인터페이스 송수신간 중간자에 의한 데이터 탈취, 위변조를 막기 위해서는 네트워크 트래픽에 대한 암호화가 필요
   2. 네트워크 구간 암호화를 위해서는 인터페이스 아키텍처에 따라 다양한 방식으로 보안 기능을 적용

인터페이스 구현검증

• 인터페이스 구현을 검증하기 위해서는 인터페이스 단위기능 및 시나리오 기반한 통합 테스트가 필요
• 테스트 자동화 도구를 이용하여 단위 및 통합 테스트의 효율성을 높임
• 인터페이스 명세서를 이용한 방법
  • 송신측에서 인터페이스 대상 선택 전송 
  • 인터페이스 객체 전송
  • 수신 후 수신측 트랜잭션 결과 반환
• 구현된 인터페이스 명세서를 참조하여 구현 검증에 필요한 감시 및 도구를 준비
  • 구현 검증 및 감시에 필요한 도구의 요건을 확인 후 시장 조사 및 솔루션 조사를 통해 적절한 감시 및 검증에 필요한 도구를 선택하여 구매가능
  • 최근에는 오픈소스 감시 도구도 많이 활용되고 있음으로 기능을 분석하여 도입을 검토한다.

인터페이스 감시도구

• 인터페이스의 동작이 잘 진행되는지 확인하기 위해서는 어플리케이션 모니터링 툴을 사용하여 동작상태를 감시
• 상용제품 및 오픈소스를 이용한 어플리케이션 툴이 있다.
• 데이터베이스 웹 어플리케이션의 트랜잭선과 변수값, 호출함수, 로그 및 시스템 부하 등 종합적인 정보를 조회하고 분석할 수 있다.
• 외부시스템과 연계 모듈의 동작 상태를 확인한다.
  • 인터페이스 구현 검증을 위하여 외부 시스템과 연계 모듈의 동작 상태를 인터페이스 구현 검증도구를 통해서 진행한다.
  • 최초 입력값과 입력값에 의해 선택되는 데이터와 생성되는 객체의 데이터 등 전반적인 인터페이스 동작 프로세스 상에서 예상되는 결과와 검증값을 비교한다.
  • 각 단계별 에러 처리도 적절하게 구현되어 있는지 검증도구를 통해 확인한다.
• 인터페이스 검증도구를 통한 인터페이스 검증 시나로리오
• 외부시스템과 연계모듈의 동작 상태를 감시
  • 외부 모듈이 서비스를 제공하는 동안 정상적으로 동작하는지 감시 도구를 통해 확인할 수 있다.
  • 인터페이스 동작여부, 에러발생여부 등 감시도구에서 제공해주는 리포트를 활용한다.

인터페이스 오류 처리 확인 및 보고서 작성

• 인터페이스 오류처리방법
  • 사용자 화면에서 오류를 인지하게 구현하는 방법
    • 가장 직관적으로 오류를 인지할 수 있어 가장 많이 쓰이는 방법
    • 인터페이스 오류가 발생하였을 때 알람 형태로 화면에 표시되며 주로 즉각적인 데이터가 인터페이스되는 경우에 사용
  • 인터페이스 오류로그 생성하는 방법
    • 시스템 운영로그에 인터페이스 오류시 관련 에러로그가 생성되도록 할 수 있다.
    • 인터페이스 오류의 자세한 내역을 알기 위해 사용됨
    • 시스템 관리자나 운영자가 오류로그를 확인할 수 있음
  • 인터페이스 관련 테이블에 오류 사항을 기록
    • 테이블을 통한 인터페이스 기능을 구현할 경우나 인터페이스 트랜잭션 기록을 별도로 보관하는 경우 테이블에 오류 사항을 기록할 수 있음
    • 이력을 직관적으로 보기 쉬워 운영자가 관리하기 용이
• 인터페이스 오류 처리 보고서
  • 인터페이스에서 오류가 발생시 관련된 사항을 조직에서정의된 보고 라인으로 인터페이스 오류 처리 보고서를 작성하여 즉각적으로보고 하여야 한다.
  • 인터페이스 오류 처리 보고서 형식으로 정형화된 형식은 없으며 조직 및 상황에 맞게 보고서를 작성